DFN-CERT-2013-1496 Mehrere Schwachstellen in Mozilla Produkten [Linux][SuSE]

DFN-CERT-2013-1496 Mehrere Schwachstellen in Mozilla Produkten [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Pakete MozillaFirefox, MozillaThunderbird, mozilla-nspr, mozilla-nss,
seamonkey, xulrunner

Betroffene Plattformen:

openSUSE 12.3
openSUSE 12.2

Mehrere Schwachstellen in Mozilla Produkten erlauben einem entfernten
Angreifer die Anwendung zum Absturz zu bringen, vertrauliche Daten zu
erlangen oder beliebige Befehle mit den Rechten des Nutzers auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-1702: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält mehrere nicht näher spezifizierte
Schwachstellen. Diese ermöglichen einem entfernten Angreifer durch das
Herbeiführen einer Korruption des Speichers die Anwendung zum Absturz zu
bringen oder schlimmstenfalls beliebige Befehle zur Ausführung zu bringen.

CVE-2013-1711: Schwachstelle in der XrayWrapper-Implementierung

Die XrayWrapper-Implementierung versäumt es die Möglichkeit einer Umgehung
des ‘XBL-Scopes’ zu beschränken. Dies erleichtert einem entfernten Angreifer
Cross-site-Scripting-Angriffe durchzuführen.

CVE-2013-1704: Use-After-Free-Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält in der Funktion nsINode::GetParentNode()
eine Use-After-Free-Schwachstelle. Diese ermöglicht einem entfernten
Angreifer durch das Herbeiführen einer Korruption des Heap-Speichers die
Anwendung zum Absturz zu bringen oder schlimmstenfalls beliebige Befehle zur
Ausführung zu bringen.

CVE-2013-1708: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine verarbeitet WAV-Dateien in der Funktion
nsCString::CharAt() nicht fehlerfrei. Dies ermöglicht einem entfernten
Angreifer durch das Bereitstellen einer präparierten WAV-Datei die Anwendung
zum Absturz zu bringen.

CVE-2013-1705: Schwachstelle in der Mozilla Browser Engine

Die Mozilla Browser Engine enthält in der Funktion
cryptojs_interpret_key_gen_type() einen Buffer Underflow auf dem Heap. Dies
ermöglicht einem entfernten Angreifer durch das Senden einer präparierten
‘Certificate Request Message Format’ (CRMF) Anfrage die Anwendung zum
Absturz zu bringen oder schlimmstenfalls beliebige Befehle zur Ausführung zu
bringen.

CVE-2013-1714: Schwachstelle in Mozilla Firefox Web Workern

Mozilla Firefox Web Worker können die Same-Origin-Policy umgehen. Ein
entfernter Angreifer kann diese Schwachstelle zu
Cross-Site-Skripting-Angriffen ausnutzen.

CVE-2013-1709: Cross-Site-Skripting Schwachstelle in Mozilla Firefox

Mozilla Firefox behandelt die Interaktion zwischen Frames und der
Browser-Historie in unsicherer Weise. Ein entfernter Angreifer kann durch
diese Schwachstelle die Behandlung schädlicher Inhalte als der
Browser-Historie zugehörig veranlassen und damit
Cross-Site-Skripting-Angriffe durchführen.

CVE-2013-1701: Mehrere Schwachstellen in Mozilla Firefox

Mehrere Schwachstellen bestehen in Mozilla Firefox bei der Verarbeitung von
nicht-wohlgeformten Webinhalten. Ein entfernter Angreifer kann, wenn er den
Nutzer verleitet eine entsprechend manipulierte Seite aufzurufen, den
Web-Browser zum Absturz oder schlimmstenfalls beliebige Befehle mit den
Rechten des Nutzers zur Ausführung bringen.

CVE-2013-1710: Schwachstelle in Mozilla Firefox

Mozilla Firefox erzeugt Certificate Request Message Format (CRMF) Anfragen
fehlerhaft. Ein entfernter Angreifer kann diese Schwachstelle zu
Cross-Site-Skripting-Angriffen ausnutzen oder beliebige Befehle mit den
Rechten des Nutzers zur Ausführung bringen.

CVE-2013-1713: Schwachstelle in Mozilla Firefox

Mozilla Firefox behandelt Uniform Resource Identifiers (URI) in JavaScript
in unsicherer Weise und die Same-Origin-Policy kann umgangen werden. Ein
entfernter Angreifer kann diese Schwachstelle zu
Cross-Site-Skripting-Angriffen ausnutzen oder schädliche Add-Ons von
Dritt-Seiten installieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1496/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2013-1701:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1701

Schwachstelle CVE-2013-1709:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1709

Schwachstelle CVE-2013-1710:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1710

Schwachstelle CVE-2013-1713:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1713

Schwachstelle CVE-2013-1714:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1714

Schwachstelle CVE-2013-1702:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1702

Schwachstelle CVE-2013-1704:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1704

Schwachstelle CVE-2013-1705:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1705

Schwachstelle CVE-2013-1708:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1708

Schwachstelle CVE-2013-1711:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1711

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben